

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Memanggil CreateKey
<a name="create-key"></a>

An AWS KMS key dihasilkan sebagai hasil dari panggilan ke panggilan [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API.

Berikut ini adalah bagian dari [sintaks `CreateKey` permintaan](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html#API_CreateKey_RequestSyntax).

```
{
  "Description": "string",
  "KeySpec": "string",
  "KeyUsage": "string",
  "Origin": "string";
  "Policy": "string"
}
```

Permintaan menerima data berikut dalam format JSON.

**Deskripsi**  
Deskripsi (Opsional) kunci. Kami menyarankan Anda memilih deskripsi yang membantu Anda memutuskan apakah kunci sesuai untuk tugas.

**KeySpec**  
Menentukan jenis kunci KMS untuk membuat. Nilai default, SYMMETRIC\$1DEFAULT, menciptakan kunci KMS enkripsi simetris. Parameter ini opsional untuk kunci enkripsi simetris, dan diperlukan untuk semua spesifikasi kunci lainnya.

**KeyUsage**  
Menentukan penggunaan kunci. Nilai yang valid adalah `ENCRYPT_DECRYPT`, `SIGN_VERIFY`, atau `GENERATE_VERIFY_MAC`. Nilai default-nya adalah `ENCRYPT_DECRYPT`. Parameter ini opsional untuk kunci enkripsi simetris, dan diperlukan untuk semua spesifikasi kunci lainnya.

** asal**  
(Opsional) Menentukan sumber bahan kunci untuk kunci KMS. Nilai defaultnya adalah`AWS_KMS`, yang menunjukkan bahwa AWS KMS menghasilkan dan mengelola materi kunci untuk kunci KMS. Nilai valid lainnya termasuk`EXTERNAL`, yang mewakili kunci KMS yang dibuat tanpa bahan kunci untuk [materi kunci yang diimpor](https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html), dan `AWS_CLOUDHSM` yang membuat kunci KMS di [penyimpanan kunci khusus](https://docs.aws.amazon.com/kms/latest/developerguide/custom-key-store-overview.html) yang didukung oleh AWS CloudHSM cluster yang Anda kontrol.

**Kebijakan**  
Kebijakan (Opsional) untuk melampirkan ke kunci. Jika kebijakan dihilangkan, kunci dibuat dengan kebijakan default (berikut) yang memungkinkan akun root dan prinsipal IAM dengan izin untuk mengelolanya. AWS KMS 

Untuk detail tentang kebijakan, lihat [Kebijakan kunci di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) dan [Kebijakan kunci default](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-default.html) di *Panduan AWS Key Management Service Pengembang*.

`CreateKey`Permintaan mengembalikan [respons](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html#API_CreateKey_ResponseSyntax) yang menyertakan ARN kunci.

```
arn:<partition>:kms:<region>:<account-id>:key/<key-id>
```

Jika ya`AWS_KMS`, setelah ARN `Origin` dibuat, permintaan ke AWS KMS HSM dibuat melalui sesi yang diautentikasi untuk menyediakan kunci dukungan modul keamanan perangkat keras (HSM) (HBK). HBK adalah kunci 256-bit yang dikaitkan dengan ID kunci ini dari kunci KMS. Hal ini dapat dihasilkan hanya pada HSM dan dirancang tidak pernah diekspor di luar batas HSM di cleartext. HBK dienkripsi di bawah kunci domain saat ini, DK. 0 Ini dienkripsi HBKs disebut sebagai token kunci terenkripsi (). EKTs Meskipun HSMs dapat dikonfigurasi untuk menggunakan berbagai metode pembungkus kunci, implementasi saat ini menggunakan AES-256 dalam Galois Counter Mode (GCM), skema enkripsi yang diautentikasi. Mode enkripsi yang diautentikasi ini memungkinkan kami untuk melindungi beberapa metadata token kunci yang diekspor cleartext.

Ini secara gaya direpresentasikan sebagai:

```
EKT = Encrypt(DK0, HBK)
```

Dua bentuk perlindungan mendasar disediakan untuk kunci KMS Anda dan yang berikutnya HBKs: kebijakan otorisasi yang ditetapkan pada kunci KMS Anda dan perlindungan kriptografi pada Anda yang terkait. HBKs Bagian yang tersisa menjelaskan perlindungan kriptografi dan keamanan fungsi manajemen di. AWS KMS

*Selain ARN, Anda dapat membuat nama yang ramah pengguna dan mengaitkannya dengan kunci KMS dengan membuat alias untuk kunci tersebut.* Setelah alias dikaitkan dengan kunci KMS, alias dapat digunakan untuk mengidentifikasi kunci KMS dalam operasi kriptografi. Untuk informasi selengkapnya, lihat [Menggunakan alias](https://docs.aws.amazon.com/kms/latest/developerguide/kms-alias.html) di *Panduan AWS Key Management Service Pengembang*.

Beberapa tingkat otorisasi mengelilingi penggunaan kunci KMS. AWS KMS memungkinkan kebijakan otorisasi terpisah antara konten terenkripsi dan kunci KMS. Sebagai contoh, sebuah Amazon Simple Storage Service (Amazon S3) terenkripsi amplop AWS KMS mewarisi kebijakan pada bucket Amazon S3. Namun, akses ke kunci enkripsi yang diperlukan ditentukan oleh kebijakan akses pada kunci KMS. *Untuk informasi tentang otorisasi kunci KMS, lihat [Otentikasi dan kontrol akses untuk AWS KMS di Panduan Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html)AWS Key Management Service .*